Создание пользователей как контейнерные объекты (принимающий это действительно, что произошло, в противоположность изменению атрибута именования от cn = к ou =, который является в основном непримечательным событием) действительно имеет некоторые интересные преимущества.
Была система PBX (я думаю Nortel, но я не вспоминаю теперь), что, когда она использовала LDAP для хранения пользователей и телефонной информации, она создала пользователей как контейнерные объекты.
Это повреждает все виды вещей, но усиление - то, что Пользовательский объект может содержать объекты конфигурации. Это позволяет другую логическую группировку, чем обычно обрабатывается.
Вместо того, чтобы добавить атрибуты для конфигурации или присвоить эквивалентность состава группы к некоторому объекту конфигурации, это позволяет Вам сохранить конфигурацию как объекты.
Я думаю, что Citrix имеет подход, где он делает это также, для хранения некоторых персонализированных настроек.
С одной стороны, OU (organizationalUnit) не имеет shadowAccount objectClass, для истекающих паролей/учетных записей, и т.д.
Где как, с обычной учетной записью, Вы получаете все атрибуты, которые идут с каждым из этих objectClasses: человек, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
Они определяются в:/etc/openldap/schema/
Можно ли описать среду немного больше?
В универсальном случае можно изменить схему, как Вы хотите. Это может быть ou=john, user=john, unicorn=john, и т.д.; но это против конвенции. Я сказал бы, что администратор не сделал никому одолжение.